51,399
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
yubo0920 2021-05-26
- 打赏
- 举报
我也遇到了类似的问题,您这最后是怎么解决的?
情谊梦幻 2021-02-09
- 打赏
- 举报
没有,那时是直接注释掉后再扫描的
Hagsyn 2020-12-21
- 打赏
- 举报
楼主解决了吗,这个流出现的存储型XSS缺陷
孔雀之王 2020-03-31
- 打赏
- 举报
收shell
tangyuan569 2020-03-30
- 打赏
- 举报
还有代码审计工具自动化也有误报的可能.叫乙方给具体修复代码.
tangyuan569 2020-03-30
- 打赏
- 举报
XSSFileter 是在前端输入这一块就过滤了XSS攻击...还没到后端代码层这一块处理. 你现在用的应该是代码审计工具(fortify)吧...直接扫后端处理代码,所以XSSFileter 不起作用. 一般攻击者只能从前端发起攻击. 所以都是加过滤器...从源代码修复的话..
write的时候过滤掉xss 你直接在这里加过滤器试下.能骗过代码审计工具么,,我不知道这样影响正常业务么.反正我这边没这样处理过.
write的时候过滤掉xss 你直接在这里加过滤器试下.能骗过代码审计工具么,,我不知道这样影响正常业务么.反正我这边没这样处理过.
tangyuan569 2020-03-30
- 打赏
- 举报
这个XXSFileter是写了的,每个请求也都会进行过滤,但是代码扫描还是会扫到这个流存在攻击[/quote]
XSFileter 是在前端输入这一块就过滤了XSS攻击...还没到后端代码层这一块处理. 你现在用的应该是代码审计工具(fortify)吧...直接扫后端处理代码,所以XSFileter 不起作用. 一般攻击者只能从前端发起攻击. 所以都是加过滤器...从源代码修复的话..
write的时候过滤掉xss
情谊梦幻 2020-03-30
- 打赏
- 举报
这个XXSFileter是写了的,每个请求也都会进行过滤,但是代码扫描还是会扫到这个流存在攻击
qq_42077212 2021-09-18
- 举报
我也遇到和你一样的问题 在过滤器加了,但是扫描代码还是有这个问题。请问你最后怎么解决的
weixin_43864911 2022-01-17
- 举报
加了过滤还是会扫描出问题,你最后怎么解决的?
tangyuan569 2020-03-30
- 打赏
- 举报
没办法改,要是把前端代码一起扫描估计要改死去,所以还是不改了,直接注释掉然后扫描在撤回把![/quote]
情谊梦幻 2020-03-30
- 打赏
- 举报
没办法改,要是把前端代码一起扫描估计要改死去,所以还是不改了,直接注释掉然后扫描在撤回把!
tangyuan569 2020-03-27
- 打赏
- 举报
https://www.jianshu.com/p/b85bec74f0ec 可以参考这个 过滤XSS修复
tangyuan569 2020-03-27
- 打赏
- 举报
还有时候扫描器会误报的. 不知道你们公司有没有做过滤器...类似注入 把 |or|and|;|-|--|+|,|like|//|/|*|%|# 等过滤掉
https://blog.csdn.net/seesun2012/article/details/79058265 具体思路参考这. 这是注入的过滤方式..XSS也类似...
https://blog.csdn.net/seesun2012/article/details/79058265 具体思路参考这. 这是注入的过滤方式..XSS也类似...
tangyuan569 2020-03-27
- 打赏
- 举报
在输入过滤,在显示的地方做输出编码。
使用一个统一的规则做输出编码
富文本框,使用白名单控制输入。
使用HTTPOnly标志
一般前端写过滤器..比如<> () alert 过滤掉.
能给下功能点 和前端代码吗?
使用一个统一的规则做输出编码
富文本框,使用白名单控制输入。
使用HTTPOnly标志
一般前端写过滤器..比如<> () alert 过滤掉.
能给下功能点 和前端代码吗?
